| r104 vs r105 | ||
|---|---|---|
| ... | ... | |
| 8 | 8 | |
| 9 | 9 | 나무위키의 서버가 잠시 느려지거나 끊기는 일은 [[나무위키/서버 다운]] 문서에 기록된 바, 여태까지 많았지만 [[DDoS]] 공격을 통해 서버가 잠시라도 마비된건 처음이다. |
| 10 | 10 | == 공격 == |
| 11 | [[파일:내부서버접속실패.p | |
| 11 | [[파일:내부서버접속실패.webp|width=600]] | |
| 12 | 12 | * 2016년 2월 6일 오후 4시 46분 02초경, 공격이 시작되어 서버가 곧 다운되었다. |
| 13 | 13 | |
| 14 | 14 | * 오후 5시 1분경에 서버가 복구되었다. |
| 15 | 15 | |
| 16 | [[파일:namuDDoS.p | |
| 16 | [[파일:namuDDoS.webp]] | |
| 17 | 17 | * 복구와 함께 즉시 Cloudflare의 DDoS 차단 루틴이 적용되고, DDoS 공지가 올라갔다. |
| 18 | 18 | |
| 19 | 19 | * 오후 5시 20분경에 점검이 시작되었다. |
| 20 | 20 | |
| 21 | 21 | * 오후 5시 30분에 완료된다고 했으나 2월 6일 오후 5시 26분에 들어 서버는 다시 접속이 가능한 상황이고 [[DDoS]] 공격을 받았다는 메세지도 사라졌다. |
| 22 | 22 | |
| 23 | * ~~[[DDoS]] 차단 루틴이 적용된 후, 나무위키 뷰어에서의 접속 시도시 503 에러가 뜨며 접속이 불가능하다. 해당 뷰어의 동작 구조 상 Cloudflare의 DDoS 차단 루틴 처리를 하지 못한다. [[:파일:Screenshot_2016-02-06-22-57-49.p | |
| 24 | [[파일:링크실패.p | |
| 23 | * ~~[[DDoS]] 차단 루틴이 적용된 후, 나무위키 뷰어에서의 접속 시도시 503 에러가 뜨며 접속이 불가능하다. 해당 뷰어의 동작 구조 상 Cloudflare의 DDoS 차단 루틴 처리를 하지 못한다. [[:파일:Screenshot_2016-02-06-22-57-49.webp|{{{#green 스크린샷}}}]]~~ 2월 7일 임시 대응 후 업데이트를 배포하고 있다. | |
| 24 | [[파일:링크실패.webp]] | |
| 25 | 25 | |
| 26 | 26 | * Cloudflare의 DDoS 차단 루틴으로 인해 외부 사이트에 나무위키 링크가 걸리지 않게 되었다. |
| 27 | 27 | == 분석 == |
| 28 | 28 | 아래 스크린샷들은 [[namu]]가 공개한 것이다. |
| 29 | 29 | === 트래픽 그래프 === |
| 30 | [[파일:스크린샷 2016-02-06 17.31.45.p | |
| 30 | [[파일:스크린샷 2016-02-06 17.31.45.webp]] | |
| 31 | 31 | 위 그래프를 보면 DDoS 공격으로 인해 나무위키의 트래픽이 갑자기 폭발적으로 증가하였다는 것을 알 수 있다. |
| 32 | 32 | === [[IP]] === |
| 33 | 33 | >39.117.106.68 |
| ... | ... | |
| 63 | 63 | >211.213.74.50 |
| 64 | 64 | >1.176.70.193 |
| 65 | 65 | === 로그 === |
| 66 | [[파일:스크린샷 2016-02-06 18.06.55.p | |
| 66 | [[파일:스크린샷 2016-02-06 18.06.55.webp]] | |
| 67 | 67 | 해당 시간대의 웹서버 로그. 최근 변경 페이지를 공격한 것을 알 수 있다. 유저 에이전트를 보면 [[Windows 8.1]] 64비트에 구동중인 크롬 44.0.2403.157 버전으로 위장해서 공격한 것으로 보인다. |
| 68 | 68 | |
| 69 | 69 | 상식적으로 저 아이피 전부가 브라우저, OS 등을 포함한 환경이 완전히 똑같을리는 만무하니 DDoS 공격 프로그램에 고정값으로 하드 코딩[* 풀어서 말하면 공격 프로그램에 미리 각 IP마다의 환경들이 짜여진 것.]된 것으로 보인다. |
| ... | ... | |
| 74 | 74 | |
| 75 | 75 | 공격 후 서버를 복구한 뒤에 Cloudflare의 DDoS 방어 루틴이 적용되었지만, 이는 임시방편일 뿐이며 추후 같은 규모 혹은 이보다도 더 큰 규모의 공격이 일어났을 때의 대비는 돈을 투자하지 않는 이상 거의 불가능하다. |
| 76 | 76 | |
| 77 | 나무위키는 앞으로 이와 같은 규모, 혹은 더 큰 규모의 DDoS 공격을 받을 수도 있다. 계속 DDoS 공격을 받으면 서버 측이 서비스를 거부하거나 Cloudflare 측이 플랜 업그레이드를 강요할 수 있기 때문에 구 [[리그베다 위키/역사#s-10|엔하위키]]와 [[엔젤하이로#s-2.4]]처럼 계속 서버를 옮겨다니거나 | |
| 77 | 나무위키는 앞으로 이와 같은 규모, 혹은 더 큰 규모의 DDoS 공격을 받을 수도 있다. 계속 DDoS 공격을 받으면 서버 측이 서비스를 거부하거나 Cloudflare 측이 플랜 업그레이드를 강요할 수 있기 때문에 구 [[리그베다 위키/역사#s-10|엔하위키]]와 [[엔젤하이로#s-2.4]]처럼 계속 서버를 옮겨다니거나 --유목위키--, 아예 망해버려서 흑역사가 될 수 있지 않느냐는 우려가 나오고 있다.--겨우 [[리그베다 위키]] 에서 갈라져 나왔는데...-- 하지만 클라우드플레어는 이보다 훨씬 더 큰 규모인 [[https://support.cloudflare.com/hc/en-us/articles/200170216-How-large-of-a-DDoS-attack-can-CloudFlare-handle-|500Gbps]]에 달하는 공격도 방어한 전적이 있고, 나무위키도 DDoS 방어 옵션이 들어간 유료 플랜을 사용중이기에 잘만 대처한다면 큰 문제는 없을 가능성이 크다. 오히려 걱정해야 할 것은 취약점을 이용한 해킹. 위와는 달리 쉽게 막을 방법이 없기 때문이다. | |
| 78 | 78 | == 부산물 : Cloudflare의 DDoS 방어 솔루션 == |
| 79 | 79 | 이 사건 이후로, [[IP]] 변경시 [[나무위키]]에 접속할 때마다 Checking your Page...라는 문구가 있는 하얀 화면과 함께 약 5초 뒤 문서로 넘어가는 현상을 겪는데 이것은 이 사태의 잔재로 적용된 Cloudflare DDoS 차단 루틴으로, Cloudflare에서 자동으로 이 접속이 DDoS 공격을 위한 악의적인 접속인지 아닌지 판별해주는 것이니 위키러들은 자신의 컴퓨터 혹은 스마트폰에 이상이 있는지 아닌지에 대해 너무 놀라지 않아도 된다. |
| 80 | 80 | [[나무파일:디도스 차단 루틴.png]] |
| ... | ... |